Как и в других областях науки, этот процесс включает в себя гипотезы, эксперименты и анализ — или, по крайней мере, должен. В действительности исследования кибербезопасности могут проводиться спонтанно, часто в кризисном режиме сразу после атаки.
Однако группа исследователей придумала другой подход, при котором эксперты могут проверять свои теории, а коллеги могут анализировать свою работу в реалистичных, но ограниченных условиях — мало чем отличающиеся от лабораторий, используемых в других областях науки.«У наших противников есть невероятная среда для тестирования атак: Интернет, в котором работают все наши производственные системы, — сказал Терри Бензел, заместитель директора по Интернету и сетевым системам Института информационных наук (ISI) Южного университета.
Калифорния. «Они могут сидеть и анализировать наши уязвимости столько, сколько захотят, зондировать, тыкать и проводить эксперименты, пока не найдут правильный путь. У наших исследователей и ведущих разработчиков технологий нет ничего подобного».Эта «асимметрия», как ее называют исследователи, является одной из причин, по которой происходит так много кибератак и взломов.
Это также послужило мотивацией для Национального научного фонда (NSF), перешедшего в 2013 году на финансирование многолетних усилий по определению того, как лучше всего продвинуть область экспериментальной кибербезопасности.Под руководством исследователей кибербезопасности из SRI International и ISI с многолетним опытом проектирования, создания и эксплуатации больших испытательных стендов кибербезопасности в работе приняли участие более 150 экспертов, представляющих 75 организаций.
В 2014 году они участвовали в трех семинарах.
В июле 2015 года исследователи выпустили отчет под названием «Эксперименты в области кибербезопасности будущего (CEF): катализирование нового поколения экспериментальных исследований кибербезопасности».Наука экспериментов по кибербезопасности
Хотя можно было ожидать, что в отчете основное внимание будет уделено типам оборудования, программного обеспечения и сетей, необходимых для проведения экспериментов по кибербезопасности, главный вывод еще более фундаментален: исследовательскому сообществу необходимо развивать «науку об экспериментах по кибербезопасности».В отчете подчеркивается, что ключевые элементы этой дисциплины должны включать методы, подходы и приемы, которые исследователи могут использовать для создания воспроизводимых исследований, которые сообщество может тестировать, повторно использовать и опираться на них.
«Экспериментирование — неотъемлемая часть научного метода, и вы не можете проводить исследования без экспериментов», — сказал Дуглас Моэн, директор отдела кибербезопасности Департамента национальной безопасности, управления науки и технологий. «Этот отчет — важный первый шаг к переосмыслению того, что необходимо для кибер-экспериментов, прежде чем мы построим инфраструктуру».Использование научного метода также требует экспертной оценки и повторяемости. В отчете подчеркивается необходимость в инфраструктуре, которая поддерживает и позволяет повторять эксперименты, создавая для исследователей простые способы проверки результатов друг друга.
Более того, вместо нескоординированных, предметно-ориентированных исследований — одни из которых связаны с атаками на отказ в обслуживании или взломом паролей, другие — с критической инфраструктурой или автомобильным тестированием — исследователям нужны общие стандарты и способы работы в разных дисциплинах и областях.«Противник не присматривается, — сказал Бензел, — и исследователи не могут себе этого позволить».
Наконец, сообществу необходимо разработать новые подходы к совместному использованию и синтезу данных, чтобы ускорить получение знаний и формирование сообщества в разных дисциплинах и организациях.«Нам нужен способ, который позволил бы исследователям, не только из разных аспектов кибербезопасности, но и из разных областей, делиться своими проблемами и использовать библиотеку экспериментальных кибер-компонентов для решения большой проблемы», — сказал Бензел.Рекомендации по обеспечению нашего кибер-будущегоОсновываясь на материалах ученых, авторы синтезировали пять ключевых наблюдений, которые, по их мнению, приведут к трансформационным результатам.
Во-первых, исследования должны быть междисциплинарными. В то время как сегодня эксперты обычно специализируются в одной области, в будущем отдельные лица и группы должны будут использовать более широкий спектр знаний и навыков.«Нам необходимо ввести различные дисциплины, от информатики, инженерии, математики и моделирования до человеческого поведения, социологии, экономики и образования», — сказал Дэвид Баленсон, другой ведущий автор и старший научный сотрудник SRI International.
Во-вторых, эксперименты должны точно моделировать и включать человеческую деятельность.«Все, что мы делаем, должно быть основано на реальном мире и включать человеческий фактор — пользователей, операторов, специалистов по обслуживанию, разработчиков и даже противников», — сказал Баленсон.Директор программы NSF Анита Николич заявила, что проведение исследований в области кибербезопасности «в изолированной, замкнутой среде, не имитирующей реальность, не способствует обнаружению нюансов, присущих такого рода исследованиям. Для получения полезных, действенных результатов необходимы новые подходы к тестированию. . "В-третьих, разные экспериментальные среды должны иметь возможность работать вместе по принципу plug-and-play, следуя общим моделям инфраструктуры и экспериментальным компонентам с использованием открытых интерфейсов и стандартов.
«Без общей экспериментальной инфраструктуры исследователи должны тратить много денег на разработку собственной экспериментальной инфраструктуры, которая отвлекает от их основных исследований», — сказала Лаура Тиннел, старший инженер-исследователь SRI International и один из авторов исследования. «Люди изобретают велосипед».В-четвертых, экспериментальные рамки должны позволять повторно использовать конструкции, чтобы лучше проверять научные гипотезы.«В большинстве других наук кто-то может прийти и повторить ваш эксперимент, но в киберпространстве это не так, — сказал Бензел. Включение таких возможностей в структуру экспериментальной структуры позволило бы исследователям проводить более широкие эксперименты, а также снизить барьер для входа и улучшить образование и обучение.
Наконец, любая создаваемая инфраструктура должна быть удобной и интуитивно понятной, чтобы исследователи и студенты тратили меньше времени на обучение работе с инфраструктурой и больше времени на критические научные исследования. Более того, сообщество должно принять более строгую научную модель для исследований и вспомогательной инфраструктуры.«Люди уже некоторое время делают то же самое, и попытка заставить их работать более ориентированным на сообщества способом потребует некоторых изменений в их мышлении, а также культурных изменений», — сказал Баленсон.
Однако авторы исследования считают, что, если научное сообщество будет следовать рекомендациям, такой сдвиг не только изменит баланс сил между хакерами и экспертами по кибербезопасности, но и приведет к созданию безопасных систем, что давно обсуждается в мир кибербезопасности, но еще не реализован.«Мы можем сместить этот асимметричный контекст киберпространства в контекст более высокого планирования, готовности, ожидания и более надежных решений», — сказал Бензел.Отчет можно найти в Интернете по адресу: http://www.cyberexperimentation.org/files/5514/3834/3934/CEF_Final_Report_20150731.pdf